微软表示，一个被追踪为DEV-0950的威胁组织使用 Clop 勒索软件来加密先前感染了Raspberry Robin 蠕虫的受害者网络。

据悉，DEV-0950 恶意活动与追踪为FIN11和TA505的网络犯罪组织重叠，这些组织以在目标系统上部署Clop勒索软件而闻名。除了勒索软件，Raspberry Robin蠕虫还被用于将其他第二阶段的有效载荷投放到受感染的设备上，具体包括 IcedID、Bumblebee 和 Truebot。

安全分析师称，Raspberry Robin蠕虫通过恶意 .LNK 文件的BadUSB 设备传播到其他设备。连接BadUSB 设备并单击链接后，蠕虫将使用cmd.exe生成一个msiexec进程，以启动存储在受感染驱动器上的第二个恶意文件。在受感染的 Windows 设备上，它与其命令和控制服务器 (C2) 进行通信。在使用几个合法的 Windows 实用程序（fodhelper、msiexec 和 odbcconf）绕过受感染系统上的用户帐户控制 (UAC) 后，它还提供和执行额外的有效负载。[阅读原文]